ARP木马病毒分析与解决方案
[
?/p>
?/p>
]ARP
木马病毒通过伪?/p>
IP
地址?/p>
MAC
地址实现
ARP
欺骗?/p>
能够?/p>
网络中产生大量的
ARP
通信量使网络阻塞,造成网络中断或中间人攻击?/p>
[
关键?/p>
]ARP
欺骗
IP MAC
一?/p>
ARP
协议简?/p>
ARP
协议即地址解析协议
Address
Resolution
Protocol
,负?/p>
IP
地址和网?/p>
实体地址
(MAC)
之间的转换?/p>
也就是将网络?/p>
?/p>
IP
层,
也就是相当于
ISO/OSI
?/p>
第三层)地址解析为数据连接层?/p>
MAC
层,也就是相当于
ISO/OSI
的第二层?/p>
?/p>
MAC
地址。即主机发送一?/p>
IP
包之前,它要到自己的
ARP
缓存表中寻找?/p>
否有目标主机?/p>
IP
地址,如果找到了,也就知道了目标主机?/p>
MAC
地址,然
后直接发送;如果没有找到,该主机就发送一?/p>
ARP
广播包目?/p>
MAC
地址?/p>
“FF.FF.FF.FF.FF.FF?/p>
?/p>
?/p>
?/p>
?/p>
?/p>
?/p>
一
?/p>
?/p>
?/p>
?/p>
所
?/p>
?/p>
?/p>
?/p>
?/p>
?/p>
?/p>
?/p>
?/p>
?/p>
?/p>
“xxx.xxx.xxx.xx1
?/p>
MAC
地址是什么?
”IP
?/p>
xxx.xxx.xxx.xx1
的主机响应这个广
播,应答
ARP
广播为:
?/p>
我是
xxx.xxx.xxx.xx1,
我的
mac
?/p>
xxxxxxxxxx2?nbsp;
这样,主?/p>
A
就知道了主机
B
?/p>
MAC
地址,可以通信了?/p>
二?/p>
ARP
欺骗原理
当对一个目标进?/p>
ARP
欺骗时,
也就是设置一主机
C
捕获主机
A
发送给?/p>
?/p>
B
的通信数据包,如果
C
能够接收?/p>
A
发送的数据包,那么第一步嗅探成?/p>
了。但是主?/p>
A
并没有意识到主机
B
没有接受到主?/p>
A
发送的数据包。假如主
?/p>
C
进行
ICMP
重定向,那么他可以直接进行整个包的修改,捕获到主?/p>
A
?/p>
送给主机
B
的数据包,全部进行修改后再转发给主机
B
,而主?/p>
B
接收到的?/p>
据包完全认为是从主机
A
发送来的。这样主?/p>
C
就完成了
ARP
欺骗?/p>
当某台主机中了这?/p>
ARP
欺骗的木马病毒程序后?/p>
会发送假冒的
ARP
响应
数据报文?/p>
这种报文会欺骗所在网段的主机和交换机?/p>
让其他用户上网的流量?/p>
须经过病毒主机?/p>
由于中毒主机本身发送大量的数据报文造成拥塞以及自身处理
能力的限制,
其他用户上网就会表现出频繁中断的现象?/p>
通过协议分析软件可以
发现中了木马病毒的网络中大部分的数据包都?/p>
ARP
广播。并且,有的中毒?/p>
象是几个
IP
地址对应?/p>
MAC
地址都是一样。下面的数据是管理员在某单位?/p>
网络设备上查看到?/p>
log
信息?/p>
display log buffer
%Jul1 10:22:01 2006 netlab ARP/4/DUPIFIP:Duplicate address 10.55.80.253 on
VLAN80, sourced by 0014-2a43-e21f